Concepten en functies van resourceforests voor Azure Active Directory Domain Services

Azure Active Directory Domain Services (Azure AD DS) biedt een aanmeldingservaring voor verouderde, on-premises line-of-business-toepassingen. Gebruikers, groepen en wachtwoordhashes van on-premises en cloudgebruikers worden gesynchroniseerd met het door Azure AD DS beheerde domein. Deze gesynchroniseerde wachtwoordhashes zijn wat gebruikers één set referenties biedt die ze kunnen gebruiken voor de on-premises AD DS, Microsoft 365 en Azure Active Directory.

Hoewel ze veilig zijn en extra beveiligingsvoordelen bieden, kunnen sommige organisaties deze gebruikerswachtwoordhashes niet synchroniseren met Azure AD of Azure AD DS. Gebruikers in een organisatie kennen hun wachtwoord mogelijk niet omdat ze alleen smartcardverificatie gebruiken. Deze beperkingen voorkomen dat sommige organisaties Azure AD DS gebruiken om klassieke on-premises toepassingen naar Azure te verplaatsen en te verplaatsen.

Als u deze behoeften en beperkingen wilt oplossen, kunt u een beheerd domein maken dat gebruikmaakt van een resourceforest. In dit conceptuele artikel wordt uitgelegd wat forests zijn en hoe ze andere resources vertrouwen om een veilige verificatiemethode te bieden.

Wat zijn bossen?

Een forest is een logische constructie die door Active Directory Domain Services (AD DS) wordt gebruikt om een of meer domeinen te groeperen. De domeinen slaan vervolgens objecten op voor gebruikers of groepen en bieden verificatieservices.

In een beheerd Azure AD DS-domein bevat het forest slechts één domein. On-premises AD DS-forests bevatten vaak veel domeinen. In grote organisaties, met name na fusies en overnames, kunt u eindigen met meerdere on-premises forests die elk vervolgens meerdere domeinen bevatten.

Standaard wordt een beheerd domein gemaakt als een gebruikersforest . Met dit type forest worden alle objecten van Azure AD gesynchroniseerd, waaronder alle gebruikersaccounts die zijn gemaakt in een on-premises AD DS-omgeving. Gebruikersaccounts kunnen zich rechtstreeks verifiëren bij het beheerde domein, bijvoorbeeld om u aan te melden bij een vm die lid is van een domein. Een gebruikersforest werkt wanneer de wachtwoordhashes kunnen worden gesynchroniseerd en gebruikers gebruiken geen exclusieve aanmeldingsmethoden zoals smartcardverificatie.

In een beheerd domeinresourceforest verifiëren gebruikers zich via een eenrichtingsforestvertrouwensrelatie vanuit hun on-premises AD DS. Met deze methode worden de gebruikersobjecten en wachtwoordhashes niet gesynchroniseerd met het beheerde domein. De gebruikersobjecten en -referenties bestaan alleen in de on-premises AD DS. Met deze methode kunnen ondernemingen resources en toepassingsplatforms hosten in Azure die afhankelijk zijn van klassieke verificatie, zoals LDAPS, Kerberos of NTLM, maar eventuele verificatieproblemen of problemen worden verwijderd.

Resourceforests bieden ook de mogelijkheid om uw toepassingen één onderdeel tegelijk op te tillen en te verplaatsen. Veel verouderde on-premises toepassingen zijn meerdere lagen, vaak met behulp van een webserver of front-end en veel databasegerelateerde onderdelen. Deze lagen maken het moeilijk om de hele toepassing in één stap naar de cloud te verplaatsen. Met resourceforests kunt u uw toepassing in een gefaseerde benadering naar de cloud verplaatsen, waardoor u uw toepassing gemakkelijker naar Azure kunt verplaatsen.

Wat zijn vertrouwensrelaties?

Organisaties met meer dan één domein hebben vaak gebruikers nodig om toegang te krijgen tot gedeelde resources in een ander domein. Voor toegang tot deze gedeelde resources moeten gebruikers in het ene domein zich verifiëren bij een ander domein. Als u deze verificatie- en autorisatiemogelijkheden tussen clients en servers in verschillende domeinen wilt bieden, moet er een vertrouwensrelatie tussen de twee domeinen zijn.

Met domeinvertrouwensrelaties vertrouwen de verificatiemechanismen voor elk domein de verificaties die afkomstig zijn van het andere domein. Vertrouwensrelaties bieden beheerde toegang tot gedeelde resources in een resourcedomein (het vertrouwende domein) door te controleren of binnenkomende verificatieaanvragen afkomstig zijn van een vertrouwde instantie (het vertrouwde domein). Vertrouwensrelaties fungeren als bruggen die alleen gevalideerde verificatieaanvragen toestaan om tussen domeinen te reizen.

Hoe een vertrouwensrelatie verificatieaanvragen doorgeeft, is afhankelijk van hoe deze is geconfigureerd. Vertrouwensrelaties kunnen op een van de volgende manieren worden geconfigureerd:

  • Eenrichting: biedt toegang van het vertrouwde domein tot resources in het vertrouwende domein.
  • Tweerichtingsrichting : biedt toegang van elk domein tot resources in het andere domein.

Vertrouwensrelaties worden ook geconfigureerd voor het afhandelen van aanvullende vertrouwensrelaties op een van de volgende manieren:

  • Niet-transitief : de vertrouwensrelatie bestaat alleen tussen de twee vertrouwenspartnerdomeinen.
  • Transitief - Vertrouwen breidt automatisch uit naar andere domeinen die door een van de partners worden vertrouwd.

In sommige gevallen worden vertrouwensrelaties automatisch tot stand gebracht wanneer domeinen worden gemaakt. In andere gevallen moet u een type vertrouwensrelatie kiezen en expliciet de juiste relaties tot stand brengen. De specifieke typen vertrouwensrelaties die worden gebruikt en de structuur van deze vertrouwensrelaties zijn afhankelijk van hoe de AD DS-directory is georganiseerd en of verschillende versies van Windows naast elkaar bestaan in het netwerk.

Vertrouwen tussen twee forests

U kunt domeinvertrouwensrelaties binnen één forest uitbreiden naar een ander forest door handmatig een eenrichtings- of tweerichtingsforestvertrouwensrelatie te maken. Een forestvertrouwensrelatie is een transitieve vertrouwensrelatie die alleen bestaat tussen een foresthoofddomein en een tweede foresthoofddomein.

  • Met een eenrichtingsforestvertrouwensrelatie kunnen alle gebruikers in het ene forest alle domeinen in het andere forest vertrouwen.
  • Een tweerichtingsrelatie tussen forests vormt een transitieve vertrouwensrelatie tussen elk domein in beide forests.

De transitiviteit van forestvertrouwensrelaties is beperkt tot de twee forestpartners. De forestvertrouwensrelatie wordt niet uitgebreid naar extra forests die worden vertrouwd door een van de partners.

Diagram of forest trust from Azure AD DS to on-premises AD DS

U kunt verschillende configuraties voor domein- en forestvertrouwensrelaties maken, afhankelijk van de AD DS-structuur van de organisatie. Azure AD DS biedt alleen ondersteuning voor een eenrichtingsforestvertrouwensrelatie. In deze configuratie kunnen resources in het beheerde domein alle domeinen in een on-premises forest vertrouwen.

Ondersteunende technologie voor vertrouwensrelaties

Vertrouwensrelaties gebruiken verschillende services en functies, zoals DNS, om domeincontrollers in partnerforests te vinden. Vertrouwensrelaties zijn ook afhankelijk van NTLM- en Kerberos-verificatieprotocollen en op Windows gebaseerde autorisatie- en toegangsbeheermechanismen om een beveiligde communicatie-infrastructuur te bieden tussen AD DS-domeinen en -forests. De volgende services en functies bieden ondersteuning voor succesvolle vertrouwensrelaties.

DNS

AD DS heeft DNS nodig voor domeincontrollerlocatie en naamgeving. De volgende ondersteuning van DNS wordt geboden om AD DS goed te laten werken:

  • Een naamomzettingsservice waarmee netwerkhosts en -services dc's kunnen vinden.
  • Een naamgevingsstructuur waarmee een onderneming de organisatiestructuur kan weerspiegelen in de namen van de adreslijstservicedomeinen.

Een DNS-domeinnaamruimte wordt meestal geïmplementeerd die de AD DS-domeinnaamruimte spiegelt. Als er een bestaande DNS-naamruimte is vóór de AD DS-implementatie, wordt de DNS-naamruimte doorgaans gepartitioneerd voor AD DS en wordt er een DNS-subdomein en delegatie voor de HOOFDmap van het AD DS-forest gemaakt. Aanvullende DNS-domeinnamen worden vervolgens toegevoegd voor elk onderliggend AD DS-domein.

DNS wordt ook gebruikt ter ondersteuning van de locatie van AD DS-DC's. De DNS-zones worden gevuld met DNS-resourcerecords waarmee netwerkhosts en -services AD DS-DC's kunnen vinden.

Toepassingen en netaanmelding

Zowel toepassingen als de Net Logon-service zijn onderdelen van het Windows gedistribueerd beveiligingskanaalmodel. Toepassingen die zijn geïntegreerd met Windows Server en AD DS maken gebruik van verificatieprotocollen om te communiceren met de Net-aanmeldingsservice, zodat er een beveiligd pad kan worden ingesteld waarmee verificatie kan plaatsvinden.

Verificatieprotocollen

AD DS-DC's verifiëren gebruikers en toepassingen met behulp van een van de volgende protocollen:

  • Kerberos versie 5-verificatieprotocol

    • Het Kerberos versie 5-protocol is het standaardverificatieprotocol dat wordt gebruikt door on-premises computers met Windows en ondersteunende besturingssystemen van derden. Dit protocol is opgegeven in RFC 1510 en is volledig geïntegreerd met AD DS, server message block (SMB), HTTP en remote procedure call (RPC), evenals de client- en servertoepassingen die gebruikmaken van deze protocollen.
    • Wanneer het Kerberos-protocol wordt gebruikt, hoeft de server geen contact op te maken met de DC. In plaats daarvan krijgt de client een ticket voor een server door er een aan te vragen bij een DC in het domein van het serveraccount. De server valideert het ticket vervolgens zonder andere instanties te raadplegen.
    • Als een computer die betrokken is bij een transactie het Kerberos versie 5-protocol niet ondersteunt, wordt het NTLM-protocol gebruikt.
  • NTLM-verificatieprotocol

    • Het NTLM-protocol is een klassiek netwerkverificatieprotocol dat wordt gebruikt door oudere besturingssystemen. Om compatibiliteitsredenen wordt het door AD DS-domeinen gebruikt om netwerkverificatieaanvragen te verwerken die afkomstig zijn van toepassingen die zijn ontworpen voor eerdere clients en servers op basis van Windows en besturingssystemen van derden.
    • Wanneer het NTLM-protocol wordt gebruikt tussen een client en een server, moet de server contact opnemen met een domeinverificatieservice op een DC om de clientreferenties te controleren. De server verifieert de client door de clientreferenties door te sturen naar een DC in het clientaccountdomein.
    • Wanneer twee AD DS-domeinen of forests zijn verbonden door een vertrouwensrelatie, kunnen verificatieaanvragen die met behulp van deze protocollen worden gedaan, worden gerouteerd om toegang te bieden tot resources in beide forests.

Autorisatie en toegangsbeheer

Autorisatie- en vertrouwenstechnologieën werken samen om een beveiligde communicatie-infrastructuur te bieden in AD DS-domeinen of -forests. Autorisatie bepaalt welk toegangsniveau een gebruiker heeft voor resources in een domein. Vertrouwensrelaties vergemakkelijken autorisatie tussen domeinen van gebruikers door een pad te bieden voor het verifiëren van gebruikers in andere domeinen, zodat hun aanvragen voor gedeelde resources in die domeinen kunnen worden geautoriseerd.

Wanneer een verificatieaanvraag in een vertrouwd domein wordt gevalideerd door het vertrouwde domein, wordt deze doorgegeven aan de doelresource. De doelresource bepaalt vervolgens of de specifieke aanvraag van de gebruiker, service of computer in het vertrouwde domein moet worden geautoriseerd op basis van de configuratie van het toegangsbeheer.

Vertrouwensrelaties bieden dit mechanisme om verificatieaanvragen te valideren die worden doorgegeven aan een vertrouwend domein. Mechanismen voor toegangsbeheer op de resourcecomputer bepalen het uiteindelijke toegangsniveau dat is verleend aan de aanvrager in het vertrouwde domein.

Volgende stappen

Zie Hoe werken forestvertrouwensrelaties in Azure AD DS voor meer informatie over vertrouwensrelaties?

Zie Een door Azure AD DS beheerd domein maken en configureren om aan de slag te gaan met het maken van een beheerd domein met een resourceforest. Vervolgens kunt u een uitgaande forestvertrouwensrelatie maken met een on-premises domein.